I ricercatori di FireEye Tao Wei e Yulong Zhang dimostrato alla conferenza Black Hat come gli hacker possono rubare le impronte digitali da remoto senza che il proprietario del dispositivo ne venga mai a conoscenza. Ancora più pericoloso, questo può essere fatto su “larga scala”.
Video consigliati
Aggiornato il 08-11-2015 da Robert Nazarian: Aggiunto nei commenti di HTC, Samsung e Yulong Zhang.
Abbiamo contattato sia HTC che Samsung per confermare che le patch sono state rilasciate sia per HTC One Max che per Galaxy S5. Abbiamo anche chiesto a Samsung se il Galassia S6, Galaxy S6 Bordoo qualsiasi altro dispositivo presenta la stessa vulnerabilità.
"Abbiamo già affrontato il problema per l'HTC One Max e non riguarda nessun altro dispositivo HTC."
Sulla base del seguente commento di HTC, siamo sicuri che tutte le versioni degli operatori di One Max siano state patchate:
“HTC è a conoscenza del rapporto FireEye sulla sicurezza dello scanner di impronte digitali. Abbiamo già affrontato il problema per l'HTC One Max in tutte le regioni e non riguarda nessun altro dispositivo HTC. Come sempre, HTC prende molto sul serio i problemi di sicurezza e ne fa una priorità assoluta.
Il commento di Samsung non fa menzione di un aggiornamento patch, ma indica che tutti i telefoni Galaxy S5 sono sicuri:
“Samsung prende molto sul serio la sicurezza delle impronte digitali e siamo a conoscenza del rapporto di FireEye su una vulnerabilità nel sensore delle impronte digitali. Dopo un esame approfondito con FireEye, si è riscontrato che tutti i dati degli utenti Galaxy S5 rimangono al sicuro."
Sfortunatamente, Samsung non ha menzionato lo stato del Galaxy S6, del Galaxy S6 Edge o di qualsiasi altro telefono dotato di sensori di impronte digitali. Abbiamo contattato nuovamente l'azienda e aggiorneremo questo post non appena riceveremo risposta.
"Dopo un esame approfondito con FireEye, si è riscontrato che tutti i dati degli utenti Galaxy S5 rimangono al sicuro."
Abbiamo anche contattato Yulong Zhang e gli abbiamo chiesto informazioni sul Galaxy S6, Galaxy S6 Edge o su qualsiasi altro telefono che potrebbe essere vulnerabile all'attacco alla sicurezza del sensore di impronte digitali. Sfortunatamente, non è stato in grado di fornire informazioni sull’eventuale impatto su altri dispositivi.
Zhang ha ribadito che l’iPhone non è vulnerabile poiché i dati delle impronte digitali sono crittografati. Mela ha acquistato AuthenTec nel 2012, che fornisce i sensori di impronte digitali per l'iPhone. La proprietà di Apple nell’azienda rende più semplice il controllo della sicurezza, a differenza di Samsung e altri Androide i produttori sono alla mercé di società hardware di terze parti.
La soluzione di HTC e Samsung prevede il blocco dei sensori di impronte digitali, ma i dati rimangono non crittografati a causa delle limitazioni hardware. In futuro i produttori di Android saranno probabilmente in grado di proteggere l’hardware che consentirà loro di crittografare i dati delle impronte digitali.
Con tutta questa negatività che circonda i sensori di impronte digitali, Zhang ritiene ancora che utilizzarli sia il modo migliore per proteggere telefoni e tablet. Le impronte digitali non possono essere indovinate, ma le password sì, soprattutto per coloro che utilizzano codici PIN semplici come 1234.
Che cos'è l'attacco di spionaggio del sensore di impronte digitali?
L'"Attacco di spionaggio del sensore di impronte digitali" funziona con i telefoni Samsung, HTC e Huawei. Secondo Wei e Zhang, alcuni produttori non riescono a bloccare il sensore delle impronte digitali. Apparentemente alcuni sono protetti solo da privilegi a livello di sistema invece che da root, il che rende più facile l'hacking. La maggior parte dei software legati alla sicurezza richiede l'accesso root, rendendo più complicato il contrasto per gli hacker.
Non è stato spiegato come l’hacker possa effettivamente accedere al sensore di impronte digitali stesso, ma l’aggressore può continuare a leggere le impronte digitali per tutta la vita del telefono una volta che l’attacco è in atto.
È stato anche dimostrato che attraverso un attacco diverso, il “Confused Authorization Attack”, come potrebbe fornire un hacker una schermata di blocco falsa che consentirebbe effettivamente un trasferimento di denaro in background una volta rilevata l'impronta digitale accettato. Il rapporto non indica però se i telefoni attuali siano effettivamente vulnerabili a questo tipo di attacco.
Ottenere un'impronta digitale potrebbe essere molto grave poiché non viene utilizzata solo per sbloccare il dispositivo, ma anche per effettuare pagamenti mobili e transazioni bancarie. Anche le impronte digitali sono legate a te personalmente e ovviamente non possono essere alterate o modificate.
Non è chiaro quanto tu debba essere preso dal panico su questo. Wei e Zhang hanno presentato una demo dell'attacco di spionaggio del sensore di impronte digitali sui vecchi Samsung Galaxy S5 e HTC One Max, ma non hanno menzionato se il nuovo Galaxy S6 o Galaxy S6 Edge presenta la stessa vulnerabilità. Inoltre, il rapporto indica che sia Samsung che HTC hanno rilasciato delle patch dopo essere state informate della vulnerabilità.
Ora, se sei un utente iPhone, sarai felice di sapere che Apple fa un lavoro migliore nel crittografare i dati delle impronte digitali dallo scanner. La buona notizia è che Google sta implementando il supporto per la sicurezza delle impronte digitali Androide M, quindi è probabile che in futuro sarà più sicuro su tutti i telefoni Android. A questo proposito, Wei e Zhang raccomandano ai consumatori di acquistare sempre i telefoni più recenti con il software più recente per una migliore protezione.
Raccomandazioni degli editori
- C’è un grosso problema con i nuovi tablet Android di Samsung
- Questo grave bug di Apple potrebbe consentire agli hacker di rubare le tue foto e cancellare il tuo dispositivo
- Queste oltre 80 app potrebbero eseguire adware sul tuo iPhone o dispositivo Android
- Android sta rubando una delle migliori funzionalità dell'iPhone per le cuffie wireless
- Samsung ha salvato il tuo telefono da un brutto problema di sicurezza
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.
